Cuando los buenos pueden ser los malos

Cuando se piensa en seguridad informática, generalmente se divide el mundo en una absurda dicotomía entre los “buenos” y los “malos”. Los buenos son los que se preocupan por mantener seguro mi ordenador, los que no harían nada malo por mi información ni por mis datos y, ni por asomo, se inmiscuirían en mi vida personal informáticamente hablando. Los malos, sin embargo, van a intentar robarme información, van a atacarme para fastidiarme y me van a arruinar el sistema.

¿Es siempre así? No, no siempre. Yo he conocido programas de seguridad que dentro de su código había enlaces a servidores del gobierno estadounidense. ¡Y eso que se supone que eran los buenos! Pero lo más escalofriante que he visto con respecto a los “buenos” es una curiosa aventura que le sucedió a una amiga.

Esta amiga decidió irse a Israel a pasar unas vacaciones. Es un sitio interesante, aunque yo hubiera optado por uno más tranquilo, con menos riesgo y menos problemas político-militares. Como buena turista del s. XXI, decidió llevarse su cámara de fotos ultramoderna, con píxeles suficientes para imprimir una valla publicitaria de cada foto. Y cómo no, su ordenador portátil para no perder contacto con el resto del grupo de amigos que nos quedamos en casa. El portátil le servía además para almacenar las decenas, cientos, ¡miles! de fotos que hizo en el viaje y que espero no tener que ver una a una.

Hasta aquí, todo correcto. No creo que sea muy distinto de los diversos turistas que van por todo el mundo. El problema apareció cuando llegó al aeropuerto y le hicieron revisar el equipaje. Aparte de una curiosa anécdota de mal gusto con la policía y la manera que tuvieron de revisar su ropa interior, se produjo una situación realmente asombrosa: le pidieron el ordenador portátil, pero no para el típico análisis visual o comprobación de que se pone en marcha y verificar que no es un contenedor de drogas, no, sino algo increíble.

aeropuerto

Los policías se llevaron el portátil a una sala lejos de la vista de su dueña, y allí estuvo un rato. Tras esa comprobación, se lo devolvieron y pudo continuar su viaje sin más problema que el retraso habitual en los vuelos.

Cuando nos contó la situación, nos quedamos asombrados. Ella había seguido usando el ordenador sin problemas, tan tranquila. Total, si habían sido los “buenos” los que le estaban revisando el portátil, como mucho se había imaginado a un par de depravados buscando unas fotos que no iban a encontrar (menuda es ella), lo más “gordo” serían las fotos en bikini a la orilla del Mar Muerto. Inmediatamente la convencimos para que dejara de usar ese ordenador. No se sabe qué podían haber introducido en él ni para qué.

Estamos acostumbrados a recibir noticias todos los días sobre casos de espionaje originados en los gobiernos de distintos países, y hay que recordar que uno de los servicios de inteligencia con mayor fama es el MOSAD israelí, que se encuentra a la altura de la CIA estadounidense, el MI6 o el BND alemán. ¿Está el MOSAD detrás de ese curioso examen al ordenador portátil de mi amiga?

No podemos saberlo. Ninguno de nosotros está a salvo de que nos espíen, y mucho menos si se brinda a alguien la posibilidad de introducir un programa espía en un ordenador que tarde o temprano acabaría conectado a una red extranjera que pueda proporcionar información, vital o no, pero al menos interesante en principio.

Todos somos objetivo de “los malos”, aunque estén disfrazados de corderitos mansos. El disco duro de ese portátil pasó a mejor vida, y mi amiga ha aprendido por lo menos a poner contraseñas adecuadas en los inicios de sesión de su sistema, y, para rematar, también en la BIOS del ordenador para seguridad del prearranque. Y nunca, nunca dejará el ordenador en manos de alguien que lo hace desaparecer de su vista. Como hacemos todos…, ¿o no?

Fernando de la Cuadra



El SEA roba y filtra los datos de 1 millón de usuarios de Forbes

Categorias: Filtraciones,hacktivismo | | Sin comentarios » |

Tan solo unos días después del intento fallido de secuestro del dominio de Facebook, el Ejército Electrónico Sirio (SEA por sus siglas en inglés) ha vuelto a protagonizar un ataque contra uno de los sitios de noticias financieras más importantes, Forbes.

Al parecer el ataque empezó a finales de la semana pasada y se dividió en varias partes. En un principio se constató que una de las webs de Forbes había sufrido un deface y se observó cómo los atacantes dejaron un mensaje como prueba de su presencia:

deface_forbes

También se vieron afectadas una de las cuentas de Twitter de Forbes (@forbestech) y dos de las cuentas de sus empleados (@thealexknapp y @samsharf). Pero, sin duda, el mayor logro de los atacantes fue acceder como administradores al panel de control de WordPress desde donde Forbes gestiona sus blogs.

forbes_wordpress_hack1

No contentos con haber obtenido la posibilidad de publicar cualquier contenido con la identidad de Forbes (cosa que hubiera causado bastante revuelo debido a la relevancia de esta empresa en el mundo financiero), los atacantes del SEA accedieron a la base de datos de usuarios registrados en los blogs de Forbes gestionados usando WordPress.

Tal y como se puede observar en la captura de pantalla que mostramos a continuación, esto incluía tener acceso a las credenciales de más de un millón de usuarios registrados y de los 79 administradores encargados de gestionar esos blogs.

forbes_wordpress_hack2

Esta información de los usuarios fue alojada poco después en un par de servidores (que ya han sido retirados) para que cualquiera se la pudiera descargar y contiene datos como el nombre de usuario, contraseña cifrada o correo electrónico.

El problema ahora no se encuentra en qué piensan hacer los hacktivistas del SEA con esa información, puesto que es pública y aún puede encontrarse en varios sitios web de compartición de archivos, sino en que esa base de datos pueda ser utilizada por ciberdelincuentes comunes para lanzar ataques dirigidos a los usuarios que estuvieran registrados en los blogs de Forbes.

Tan solo hace falta que uno de los usuarios que haya visto sus datos filtrados reciba un correo especialmente preparado para que sea redirigido a una web preparada especialmente para robarle más información privada o instalarle un malware.

Es por eso que se hace necesario extremar las precauciones, desconfiar de correos electrónicos y enlaces que nos pidan revisar nuestros datos, cambiar la contraseña utilizada si éramos usuarios de los blogs afectados y, sobre todo, nunca reutilizar la misma contraseña en diferentes sitios web.

Josep Albors

Enlaces relacionados

Hacktivistas sirios intentan hacerse con el control del dominio de Facebook

Nueva ciberarma económica pone en jaque a la Casa Blanca y a la bolsa

Grupo sirio pro-Assad secuestra dominios de Twitter y The New York Times

Nuevo troyano para Mac contiene referencias al ejercito electrónico sirio

 



Hacktivistas sirios intentan hacerse con el control del dominio de Facebook

Categorias: hacktivismo,seguridad | | 1 Comentario » |

Uno de los grupos hacktivistas más activos últimamente, conocidos como SEA (Syrian Electronic Army), volvió a ser protagonista la pasada madrugada al intentar hacerse con el control del dominio Facebook.com. Afortunadamente, este ataque fracasó a los pocos minutos de iniciarse y para informar de lo sucedido hemos preparado el siguiente post.

¿Qué sucedió en realidad?

Aparentemente, los hacktivistas del SEA consiguieron acceder temporalmente al informe del dominio en el panel de control de MarkMonitor, empresa supuestamente responsable de gestionar el dominio Facebook.com. Esta empresa se encarga de gestionar dominios y la reputación online de sus usuarios (entre las que encontramos algunas de las más importantes a nivel mundial), además de ofrecerles un portal de acceso “seguro”.

Los hacktivistas publicaron pruebas del éxito de su ataque en forma de capturas de pantalla en Twitter. Pero este éxito fue solo temporal puesto que en menos de 30 minutos, los administradores de MarkMonitor consiguieron recuperar el control del dominio de Facebook.

MarkMonitor Administration Panel

¿Qué debemos hacer?

Como usuarios de Facebook, la respuesta es absolutamente nada. Al no lograr los atacantes su objetivo, el control del dominio Facebook.com sigue siendo de su legítimo propietario.

Entonces, ¿cuál es el problema?

Como hemos visto en casos anteriores, si se consigue controlar un dominio de esta forma es posible redirigir el tráfico web desde el sitio original a otro sitio que puede ser utilizado de forma maliciosa, como recopilar información personal o infectar a todos los visitantes con malware. El problema de este tipo de acciones es que existen pocas probabilidades de que se realice alguna acción legal sobre los atacantes, sobre todo si estos se encuentran realmente en países como Siria, fuera del alcance de la justicia internacional.

¿Pueden protegerse las empresas de ataques de este tipo?

La decisión más importante (y de momento la única) que debemos / podemos tomar es elegir un buen registrador de dominio. Este ataque sobre el dominio de Facebook ha demostrado que una empresa eficaz como MarkMonitor es capaz de proteger a sus clientes. Aún quedan muchos datos por conocer pero, en este momento, parece que la empresa reaccionó de forma rápida y efectiva a este ataque.

¿Qué es el SEA?

El Ejercito Electrónico Sirio (SEA) es un grupo de hacktivistas que apoyan al gobierno de Bashar al-Asad y han sido uno de los grupos más activos en los últimos meses lanzando ataques contra todo tipo de empresas y gobiernos. Se desconoce si las personas que están detrás de este grupo tienen alguna relación con el gobierno sirio o incluso si son una unidad dentro del ejército de ese país.

Lo que parece claro es que este grupo cada vez apunta más alto y este ataque es solo una muestra. Los posibles objetivos de este tipo de grupos son muy variados y van desde simples usuarios a grandes empresas y gobiernos, por lo que es necesario contar con unas buenas prácticas de seguridad que eviten que caigamos en la trampa.

Josep Albors

Enlaces relacionados:

Nueva ciberarma económica pone en jaque a la Casa Blanca y a la bolsa

Grupo sirio pro-Assad secuestra dominios de Twitter y The New York Times

Nuevo troyano para Mac contiene referencias al ejercito electrónico sirio

Una cuenta de Twitter de Microsoft hackeada



Anonymous publica información privada del CESICAT y de los Mossos

Categorias: Filtraciones,hacktivismo,Privacidad | | 1 Comentario » |

Hacía tiempo que no informábamos de una acción atribuida al grupo hacktivista Anonymous, aunque no han dejado de realizar acciones reivindicativas durante los últimos meses. Sin embargo, las últimas filtraciones de datos provenientes del CESICAT (Centro de Seguridad de la Información de Cataluña) y de los Mossos de Escuadra han devuelto a este grupo al centro de la atención informativa.

No está claro aún si estas acciones han venido como respuesta a los vídeos publicados la semana pasada y en los que se observaba cómo varios agentes propinaban una paliza a un empresario que falleció tras estos hechos, aunque por el poco tiempo transcurrido entre la publicación de estos polémicos vídeos y la filtración de los datos todo apunta a que así sea.

De esta forma, el pasado 24 de cctubre salía a la luz un listado en el que se podía observar información privada de hasta 421 agentes, información que incluía su identificador, NIF, número de teléfono y correo electrónico. Desde el grupo hacktivista avisaban de que disponían de acceso a toda la base de datos del cuerpo de la policía autonómica catalana y que estaban dispuesto a revelar más información.

spy_mossos2

Pero la cosa no quedó ahí, ya que pocos días después, el domingo 27 por la tarde, se publicaba un comunicado también de Anonymous en el que se adjuntaba un dossier con 38 informes de los Mossos donde, supuestamente, se informaba del seguimiento de diversas movilizaciones sociales acontecidas en los últimos meses. Este documento fue rápidamente retirado de los enlaces proporcionados en el comunicado y, aunque los hacktivistas afirman que pertenecen al CESICAT, esta entidad aún no se ha pronunciado al respecto.

spy_mossos1

Según este informe, CESICAT sería una institución con la misión de espiar los movimientos sociales que pudieran suponer una alteración del orden público, siempre según la versión de los hacktivistas. De ser reales demostraría la existencia de unidades de la policía autonómica dedicadas a rastrear Internet y, especialmente, las redes sociales, con la finalidad de conseguir información sobre estas convocatorias de manifestaciones.

A estas alturas y viendo cómo el espionaje internacional entre países está más que demostrado, a pocos nos debería de sorprender la existencia de unidades de este tipo, incluso entre policías autonómicas. Esto de por sí no debería ser algo perjudicial, e incluso se utiliza a menudo para evitar acciones delictivas o conseguir detener a los responsables cuando estas ya se han cometido. No obstante, siempre hay que seguir los procedimientos establecidos y contar con una orden judicial que avale estas acciones, puesto que lo contrario solo genera desconfianza entre la población al sentirse espiada injustamente.

Josep Albors



Grupo sirio pro-Assad secuestra dominios de Twitter y The New York Times

Categorias: Cyberwar,hacktivismo,Phishing | | 2 Comentarios » |

La guerra civil en Siria, que lleva varios meses causando miles de muertos y millones de refugiados, está a punto de entrar en una nueva fase si finalmente se cumplen las intenciones de países como Estados Unidos, Reino Unido o Francia de realizar ataques contra objetivos militares del régimen de Bashar al-Assad como represalia al supuesto ataque con armas químicas realizadas contra la población civil de la semana pasada.

Esta intervención podría provocar una escalada de la tensión no solo en la zona, sino entre los aliados de uno y otro bando (con Rusia como mayor apoyo del régimen sirio), aunque desde hace meses estamos viendo una batalla en la red entre opositores y defensores del régimen sirio.

Dentro de estas hostilidades realizadas en Internet, el grupo conocido como el Ejercito Electrónico Sirio (SEA por sus siglas en inglés) dio ayer por la noche (hora española) un golpe de efecto al conseguir secuestrar temporalmente el dominio del prestigioso periódico The New York Times y también uno de los dominios utilizados por Twitter para alojar imágenes. En un primer tweet enviado por este grupo, se afirmaba que habían conseguido hacerse con el control del dominio twitter.com, hecho que encendió todas las alarmas.

tweet_syria

No obstante, el efecto más notable se observó al intentar acceder al periódico The New York Times. Los usuarios que lo intentaron durante el tiempo que duró este secuestro vieron cómo este se encontraba inaccesible e incluso en algunos casos eran redirigidos a sitios que alojaban malware. Al tratarse de un sitio con una reputación tan elevada y un perfil tan alto, los usuarios no tardaron en dar la voz de alarma, algo que fue confirmado poco después al comprobarse que el SEA había obtenido acceso al apartado de mantenimiento del dominio comprometido.

syria_nytimesdomian

No fueron los únicos afectados por esta acción, ya que otro periódico como el Huffington Post también experimentó problemas. A las pocas horas de haber empezado todo y con la situación aparentemente controlada, el New York Times publicaba un extenso resumen del incidente sufrido mientras que Twitter solo publicaba una escueta nota en su servicio de revisión del estado.

twitter_status

La pregunta que se realizan ahora mismo muchos usuarios es cómo pudo ocurrir algo tan grave en sitios de primer nivel tan importantes. Al parecer, todo se habría producido al haberse obtenido las claves de acceso de uno de los distribuidores de la empresa Melbourne IT, encargada del registro de dominios tanto de Twitter como de The New York Times, pero también de otros sitios web que se vieron afectados. De esta forma, los atacantes consiguieron acceso al servidor y cambiaron la configuración para redirigir a los usuarios de los sitios legítimos a sitios comprometidos.

Esta acción puede ser solo un ejemplo de las represalias que podrían tomarse si finalmente potencias extranjeras realizan ataques contra objetivos del régimen sirio. Hace tiempo que quedó claro que el ciberespacio es un escenario más dentro del teatro de operaciones en caso de guerra y este puede ser un nuevo caso que lo demuestre.

Josep Albors



Hackeo de automóviles al estilo español

Ha sido, sin duda, uno de los temas estrellas de esta edición de la feria de seguridad Defcon, celebrada este fin de semana. Desde Charlie Miller con su presentación acerca de cómo tomar el control total de los sistemas de un Toyota Prius y de un Ford Escape, hasta la charla ofrecida por Jaso Staggs sobre cómo hackear un Mini Cooper. Pero sin duda, la charla sobre este tema que más nos ha gustado ha sido la de Alberto García Illera y Javier Vázquez Vidal, tanto por la información proporcionada como por el amplio número de vehículos que se ven afectados, por no mencionar el hecho de que han puesto a disposición de toda la comunidad de investigadores los planos de construcción de uno de los modelos de dispositivos de control del automóvil junto con el software.

hackingcoches

Alberto es un viejo conocido, ya que el año pasado tuvimos la oportunidad de asistir a una de las charlas más importantes, donde demostró varias vulnerabilidades en el sistema de transporte ferroviario en España. Este año repetía con un tema no menos polémico: la manipulación de los ordenadores que utilizan los automóviles actuales para controlar todos sus sistemas. En su charla explicó junto a su compañero cómo consiguieron interceptar las comunicaciones que las unidades de control (ECU por sus siglas en inglés) emplean para comunicarse entre ellas y modificarlas para conseguir que el automóvil realizara lo que ellos quisieran sin importar las órdenes dadas por el conductor.

Las ECU de los coches son responsables de toda la gestión de los múltiples sistemas electrónicos que incorporan los automóviles actuales, así como también de almacenar grandes cantidades de información como, por ejemplo, los fallos producidos. Contienen unas unidades de memoria flash o EEPROM con un firmware que puede ser modificado si así lo cree oportuno el fabricante. No obstante, la seguridad de las comunicaciones que realizan las diferentes ECU presentes en un automóvil no es todo lo robusta que debería y estas comunicaciones pueden ser interceptadas.

Es importante saber que muchos de los parámetros de un automóvil, como la potencia o el consumo, pueden modificarse al alterar valores en estas ECU: es lo que ocurre cuando llevamos el coche al taller y lo conectan a un ordenador para ver la diagnosis. Asimismo, los fabricantes suelen emplear dos tipos de protocolos de comunicación entre ECU: el más moderno CAN BUS y el antiguo K-LINE. También es habitual que lancen actualizaciones de firmware de estos sistemas de control que solucionan errores o mejoran el rendimiento.

Tanto Alberto como Javier afirmaron en la charla que están trabajando en un firmware universal capaz de manejar todos los tipos de ECU y permita también añadir nuevos modelos sin tener que actualizar el firmware.

Actualmente, existen varias herramientas que permiten modificar parámetros de ECU individuales pero son caros (a partir de mil euros) y necesitan de conexión obligatoria a un PC. Ellos presentaron su propio dispositivo con un coste de fabricación de tan solo 20 euros, portátil y que no necesita de conexión a un PC para funcionar, además de no estar atado a ningún modelo en concreto de vehículo, lo que les permite abarcar cientos de modelos diferentes en el mercado.

Alguna de las características que enseñaron incluían la gestión remota desde dispositivos Android sólo con añadir un módulo de comunicación por Bluetooth (con un coste de solo 60 céntimos más). Además, se comentó la posibilidad de añadir conexión 3G al dispositivo y conectarlo al puerto ODB, situado normalmente en las ruedas, por lo que, teniendo acceso físico al vehículo e instalando uno de estos dispositivos, en teoría se podrían llegar a controlar remotamente muchas de las funciones del mismo.

Esta pareja de jóvenes investigadores quisieron destacar la ayuda que supondría un dispositivo de este tipo a la hora de analizar accidentes de tráfico, ya que también permite acceder a los datos almacenados en los sensores y ECU (incluyendo la velocidad, RPM, frenos y ABS, etc.) y que, desde 1994, incorporan todos los vehículos en el sistema CDR (Crash Data Retrieval) y que normalmente se almacenan en la ECU del airbag.

El hecho de disponer de un dispositivo tan barato como el presentado permitiría ahorrar muchos costes a las unidades encargadas de investigar los accidentes de tráfico ya que las unidades de análisis existentes (principalmente las CDR Premium Tool del fabricante BOSCH) tienen un precio elevado (unos 7.000 euros). Tan sólo debería conectarse el dispositivo al puerto ODB situado en las ruedas, al ECU del airbag o leer directamente las memorias EEPROM que poseen los automóviles y que actualmente almacenan esta información sin cifrar.

hackingcoches2

Los jóvenes investigadores españoles terminaron la charla comentando las múltiples conexiones inalámbricas (bluetooth, infrarrojos, Wi-Fi) que incorporan varios modelos actuales, lo que abriría un nuevo vector de ataque que ya ha empezado a ser estudiado por algunos investigadores y que eliminaría la necesidad de acceder físicamente al automóvil para hackearlo.

Ofrecemos aquí un extracto de la charla que mantuvimos con Alberto García Illera y Javier Vázquez Vidal.

¿Qué os motivó a empezar esta investigación?

Todo empezó por hacerle un favor a un amigo. Javier es especialista en hardware y lleva tiempo modificando sistemas de control integrados en los coches para conseguir, por ejemplo, mas potencia, una práctica habitual entre los aficionados al tunning. Uno de sus conocidos le pedía constantemente que modificara varios de esos parámetros, algo que resultaba engorroso puesto que tenía que trasladarse hasta donde tenía el coche, conectar el ordenador a uno de los puertos disponibles de los que disponen los automóviles para realizar tareas de diagnóstico y modificar aquellos parámetros que pedía.

Es entonces cuando surgió la idea de fabricar un sencillo y barato dispositivo que permitiera a cualquier persona, sin necesidad de contar con muchos conocimientos, modificar estos parámetros a voluntad y sin tener que utilizar un PC.

En ese momento comentamos el proyecto a Alberto y a partir de aquí empezamos a descubrir que todos los componentes electrónicos de los automóviles se encuentran conectados.

¿Os sorprendisteis con los resultados de esta investigación?

No esperábamos obtener tanta información y nos asustamos al contemplar la posibilidad teórica de que alguien pueda controlar remotamente nuestro automóvil. También nos sorprendimos al ver la gran cantidad de datos que almacenan las ECU de los automóviles actuales y enseguida pensamos en cómo esta información podría llegar a ayudar a resolver casos de accidentes. Incluso contactamos con un experto en los Estados Unidos conocido por sus estudios sobre estos sistemas de control pero no fue capaz de interpretar la información que habíamos obtenido en nuestra investigación.

hackingcoches3

Con toda la información que se ha ofrecido estos días en la Defcon alrededor de este tema, ¿creéis que supone un riesgo para los conductores?

Siempre existe el riesgo de que pueda utilizarse de forma maliciosa para provocar accidentes y quitarse de en medio a alguien molesto. En teoría, la posibilidad está ahí y hay incluso quien afirma que el accidente de automóvil que terminó con la vida de Lady Di podría haber sido consecuencia de un sabotaje, pero nosotros no conocemos ningún caso en los que se hayan aplicado las técnicas que hemos desarrollado para provocar un accidente.

¿Habéis contactado con los fabricantes de los vehículos afectados?

De momento no, porque no vamos a liberar la parte del código que permite manipular y realizar ataques a los sistemas de control de los vehículos. No obstante, sabemos que hay otra gente que ha investigado este tema o lo está investigando (solo hay que ver la cantidad de charlas que se han producido en la Defcon) y los fabricantes deberían realmente mejorar las comunicaciones y la seguridad entre las ECU. Si sólo aplican parches menores no será difícil volver a encontrar fallos de seguridad.

Asimismo, los fabricantes de automóviles deberían hablar con los investigadores que han hecho públicos sus descubrimientos y colaborar con ellos para conocer cuáles son los fallos presentes en los sistemas de control integrados en los automóviles y poder solucionarlos. Hay que tener en cuenta que el principal problema reside en un fallo de diseño de estos sistemas.

¿Qué información vais a entregar a la comunidad de investigadores?

Vamos a liberar los planos de diseño y el código del modelo de caja de control más básico, aquélla que sólo intercepta y modifica las comunicaciones realizadas con el protocolo K-LINE. Posteriormente pondremos a la venta el kit de construcción y la versión lista para utilizar del modelo más avanzado que permite analizar e interferir en las comunicaciones de los protocolos K-LINE y CAN BUS.

Hay que recordar que nosotros somos investigadores y estamos a disposición de cualquier fabricante de automóviles que quiera plantearnos consultas o necesite ayuda para solucionar este problema. Asimismo quisiéramos recordar los beneficios de contar con un dispositivo de este tipo tan barato, como por ejemplo en el análisis de accidentes de tráfico, ya que puede ayudar a determinar puntos clave como la velocidad a la que iba el vehículo antes del accidente o comprobar si fallo alguno de los sistemas de seguridad del automóvil.

Alberto y Javier son un ejemplo de los importantes descubrimientos en materia de seguridad informática aplicados a cada vez más áreas de nuestra vida diaria. Esperamos que sus investigaciones hayan atraído la atención de los fabricantes de automóviles y ayude a mejorar sus seguridad. Por nuestra parte, esperamos encontrárnoslos pronto en algún otro evento para saber en que andan metidos.

Josep Albors

@JosepAlbors



Crónica desde la Defcon: Día 3 y último

Empezábamos la mañana a una charla/debate sobre la percepción que tiene la sociedad de los hackers, como son vistos de forma radicalmente diferente dependiendo de a quien se le pregunte. Las persecuciones de hackers e informadores como Snowden o Assange ha puesto en el punto de mira de las autoridades a estos investigadores, considerados por ellos mismos y parte de la sociedad como necesarios para mejorar la seguridad del mundo digital. Se nos ha invitado a los asistentes a apoyar esta causa para así permitir que eventos como Defcon se sigan celebrando.

A continuación hemos podido asistir a la charla ofrecida por los investigadores Brian Gorenc y Jasiel Spelman, quienes han analizado las múltiples vulnerabilidades aparecidas en Java en los últimos tres años. Java se ha convertido sin duda en el blanco preferido de muchos atacantes como se ha podido demostrar en los datos mostrados en esta charla, datos que además incluían información obtenida del programa Zero Day Initiative, donde se recompensa económicamente a aquellos investigadores que reporten vulnerabilidades.

defcon12

Tras repasar la arquitectura de Java y de sus subcomponentes hemos comprobado que muchos de los problemas vienen debido a al manejo de los privilegios en la “sandbox” que implementa Java. Además, el proceso de publicación de parches de seguridad sigue resultando demasiado lento (cada tres meses) y esto permite que los atacantes dispongan del tiempo suficiente para sacar partido a sus exploits.

Por si fuera poco, los usuarios tampoco ponen de su parte y el tiempo que  tardan en actualizar sus instalaciones de Java puede fluctuar mucho, llegándose incluso a superar el año en algunos casos, algo que deja expuesto nuestros sistemas demasiado tiempo para que un atacante aproveche este agujero de seguridad. Solo hay que ver los resultados de concursos como el Pwn2Own, donde las vulnerabilidades en Java coparon los cuatro primeros puestos del ranking para darse cuenta del peligro que suponen tener instalada una versión vulnerable de Java.

Ante este panorama, los investigadores han propuesto a Oracle, propietaria de Java, que lance parches de seguridad más frecuentemente, evite la superficie de ataque de su software y mejore la seguridad de su sandbox para que no sea fácilmente esquivable. Tampoco hay que olvidar a los usuarios, quienes han de tomar conciencia del riesgo de seguridad que supone tener instalado una versión obsoleta de este software.

A continuación, el investigador Remy Baumgarten, ha comentado la creciente variedad de amenazas que afectan a sistemas MAC OS e iOS y el riesgo que esto supone tanto para usuarios domésticos como corporativos. Aquellos que quieren analizar binarios Mach-O (formato de ficheros ejecutables en Mac) se encuentran con la dificultad de no disponer de una herramienta que ayude a analizar estos ficheros, algo necesario para identificar rápidamente contenido malicioso.

Por eso, este investigador ha presentado Mach-O Viz, una herramienta interactiva de visualización de datos que ayudará a los investigadores a detectar archivos Mach-O potencialmente peligrosos en una red, estaciones de trabajo o dispositivos móviles de sus usuarios. Esta herramienta cuenta con una interfaz gráfica sencilla y accesible desde una web y permite obtener gran cantidad de información como la actividad que ese fichero sospechoso genera en la red, un visor hexadecimal del código, un desensamblador, etc. Sin duda, una utilidad que será muy apreciada por los analistas de malware en sistemas Mac OS e iOS.

Una de las charlas sobre privacidad que más esperábamos es la que han presentado Drea London y Kyle O’Meara sobre el funcionamiento de ciertas aplicaciones que dicen garantizar la destrucción de los mensajes enviados pasado un tiempo establecido por el usuario. En esta presentación hemos podido observar como la información enviada y recibida por aplicaciones como Snapchat puede ser recuperada siempre que se cumplan una serie de condiciones, algo que debería hacer reflexionar sobre su privacidad a aquellos usuarios que las utilizan.

Tras tomarnos un rápido tentempié hemos acudida a la charla ofrecida por el investigador Amr Thabet donde nos ha presentado un sistema que se encuentra desarrollando y que responde al nombre de Explotation Detection System. Este sistema pretende ser la evolución lógica de los IDS e IPS actuales y entre sus finalidades encontramos alguna tan útil como la detección de ataques que utilicen exploits desde los ordenadores de la propia empresa hacia sus servidores.

defcon14

Este novedoso sistema no tiene como finalidad detectar malware mediante firmas si no que se centra en detectar si se está utilizando un exploit para atacar a nuestro sistema analizando la memoria del mismo. Para ello utiliza varias técnicas como la mitigación cooperativa, una capa adicional de monitorización del sistema, alerta ante comportamientos sospechosos de algunos procesos o un sistema de puntuación para marcar aquellas actividades potencialmente peligrosas.

Según su creador es capaz también de detectar todo tipo de Shellcodes, incluyendo aquellas que se pueden encontrar en el conocido framework Metasploit. Entre las futuras mejoras que ha prometido implementar encontramos la inclusión de un servidor central que se encargaría de recibir alertas y avisos y monitorizar la actividad de posibles exploits en las máquinas cliente.

En la charla sobre análisis forense ofrecida por John Ortiz hemos podido ver cómo un malware puede ocultar información en archivos legítimos del usuario o del propio sistema operativo. Usando la aplicación Footprint hemos visto como se comparan diferentes estados del sistema, anterior y posterior a la infección para averiguar que archivos han sido modificados. Otra herramienta que hemos visto en acción ha sido Writte Bitmap Histogram, la cual permite averiguar si un fichero ha sido alterado por un malware comparando el histograma antes y después de la infección.

Y para cerrar esta sesión de charlas, hemos asistido a la ofrecida por el investigador Alejandro Cáceres que versaba sobre la posibilidad de realizar ataques de forma masiva usando para ello mecanismos de computación distribuida de código abierto. Usando plataformas como Apache Hadoop y un cluster de no necesariamente muchos ordenadores, el investigador ha comentado como se pueden atacar grandes cantidades de sitios web en un corto espacio de tiempo, llegando a comentar un proyecto en el que están trabajando y que pretende revisar la nada despreciable cifra de 250 millones de sitios web con agujeros de seguridad.

defcon15

Para ello han utilizado la herramienta de desarrollo propio Punk Spider, que a su vez está compuesta por varios módulos. Por una parte tenemos Punk Scan, responsable de localizar direcciones web en busca de vulnerabilidades en las mismas. Se trata de una herramienta sencilla y con pocas líneas de código pero que, gracias a la computación distribuida, se convierte en algo realmente potente. En la demostración que nos ha ofrecido ha analizado y registrado 65 dominios web vulnerables en solo 45 segundos, usando para ello únicamente 10 nodos con 10 hilos de proceso cada uno.

Esta técnica permitiría revisar grandes cantidades de direcciones web en busca de vulnerabilidades para realizar ataques a gran escala (p.ej. a países), aunque no es su única utilidad. Usando otro módulo conocido como Punk Crack, se pueden utilizar los sistemas de computación distribuida de Amazon, por ejemplo, para conseguir averiguar contraseñas complejas en poco tiempo. Obviamente, cuantos más recursos económicos destinemos a alquilar servidores, menor será el tiempo necesario para averiguar la contraseña.

Entre las utilidades que una herramienta tan poderosa como esta puede tener, el investigador ha querido destacar su gran utilidad en tareas de pentesting a gran escala utilizando hardware antiguo y prevenir así ataques a gran escala.

Cabe destacar que este investigador ha tenido el mérito añadido de realizar su charla tras ingerir en directo grandes cantidades de alcohol y recibir varios golpes de remo por parte de los voluntarios de la Defcon. Y es que hay una norma no escrita que dice que si eres presentador por primera vez en la Defcon has de beber obligatoriamente durante tu charla. En su caso ha tenido que beber dos veces por haber realizado dos charlas en su primer año y tomar un trago más en solidaridad con otra presentadora. Una costumbre divertida que añade algo más de diversión a estas charlas y que hemos grabado en un video que publicaremos próximamente.

defcon16

Y por nuestra parte eso es todo desde la Defcon. Ha sido un placer participar en un ambiente tan abierto y dispuesto a compartir información como es la Defcon un año más y esperamos volver el año que viene para ofrecer más información interesante. Durante los próximos días y semanas iremos ampliando la información sobre aquellas charlas que nos han parecido más interesantes, complementadas con fotos y videos que hemos tomado a lo largo de estos días.

A nosotros solo nos queda disfrutar de nuestras últimas horas en Las Vegas y prepararnos para el largo viaje de regreso a España que nos espera. Muchas gracias a todos por seguir nuestras crónicas en este blog. Os esperamos en el próximo evento de seguridad que cubramos.

 Josep Albors

 David Sánchez



Crónica desde la Defcon: Día 2

Empezábamos el segundo día de la Defcon con una charla muy esperada sobre uno de los temas más recurrentes de estos días. Las vulnerabilidades presentes en los sistemas de control de muchos automóviles actuales y de cómo un atacante podría interceptarlas y modificarlas para obligar al vehículo a realizar operaciones peligrosas.

Nadie mejor para explicarnos estas vulnerabilidades y como se podrían modificar las ordenes que los sistemas de control (ECU) de los coches reciben que Alberto Garcia Illera  y Javier Vazquez Vidal, dos investigadores españoles que han conquistado a la audiencia desde el primer minuto de su charla.

defcon6

Complementando la información que proporcionó Charlie Miller en la charla del primer día, esta pareja de jóvenes investigadores han explicado como pasaron de “trucar” chips de control en vehículos a requerimiento de amigos aficionados al tunning a descubrir todo un nuevo mundo poblado por sensores, activadores y ECU  comunicándose entre sí. Como no podía ser de otra forma, estos investigadores consiguieron averiguar como se transmitía la información entre estos componentes y como interceptar y modificar esta información.

Tras un duro trabajo de investigación de hardware y software consiguieron desarrollar un dispositivo con un coste de apenas 26 dólares en contraposición de los caros dispositivos usados por profesionales cuyo coste se cifra en varios miles de dólares. Este dispositivo permite modificar parámetros de configuración o las comunicaciones del automóvil sin necesidad de disponer de un PC y ya han anunciado que pondrán a disposición de la comunidad los planos de uno de los modelos más básicos así como también el software que lo gestiona.

Es importante destacar la relevancia de esta investigación puesto que no cubre solo un modelo en concreto sino que puede aplicarse a cientos de ellos. Además la publicación de los planos para construir el dispositivo junto con su software es algo que abre todo un nuevo campo de investigación y que podría ayudar, por ejemplo a determinar las causas de un accidente analizando los datos almacenados en las ECU. Por eso ampliaremos la información de esta charla en un post posterior complementado con una entrevista a esta pareja de brillantes investigadores españoles.

Seguidamente, uno de los ponentes españoles más internacionales como es Chema Alonso presento a la audiencia de las vegas su herramienta Evil Foca. Debido a que los sistemas Windows funcionan con IPv6 por defecto, aunque muchas de las redes aun no están preparadas para ello, Chema ha mostrado como realizar varios ataques del tipo Man-in-the-middle, SLAAC o Web Proxy Autodiscovery bajo IPv6 y utilizando Evil Foca de forma sencilla e intuitiva.

defcon7

En otra de las charlas de uno de los temas de moda como es la seguridad en automóviles, el investigador Christie Dudley ha hablado del sistema DSRC, pensado para enviar información desde automóviles en intervalos de uno a 10 segundos. En primer lugar ha comentado el asunto de la privacidad de estas comunicaciones, empezando por la identificación del conductor y sus formas de autentificarse en el sistema. No obstante sigue existiendo el problema de saber quien accede a estos datos, poniendo el investigador el ejemplo de si la policía podría acceder a esta información si cometiésemos alguna infracción de tráfico.

Siguiendo con este tema, el investigador Jason Staggs ha analizado la manera de interferir en los sistemas de un Mini Cooper a través del ya familiar para nosotros CAN Bus. Se ha vuelto a poner en manifiesto la carencia de seguridad tanto de las unidades de control (ECU) presentes en cada vehículo como de las comunicaciones entre estas ECU, los sensores y los activadores que todos la mayoría de coches actuales poseen. Una vez más, se ha demostrado con otro modelo como un atacante podría interferir en estas comunicaciones y enviar órdenes maliciosas a un vehículo que lo pusieran en peligro.

A continuación hemos enlazado una serie de charlas que giraban alrededor de la seguridad en Android. Primero, el investigador Craig Young ha demostrado como, a través de una aplicación maliciosa que el mismo creó y que estuvo disponible cerca de un mes en Google Play conseguía robar los datos de autenticación en cuentas de Google a través de los tokens. Una vez conseguida en la información ha demostrado cómo de fácil resulta acceder a los todos los datos (que no son pocos) que Google almacena en sus múltiples servicios e incluso cambiar muchos de los permisos u opciones.

A continuación, Jaime Sánchez, otro investigador español conocido entre otras cosas por su trabajo en la web Seguridad Ofensiva, ha hablado del desarrollo de una herramienta para Android que está desarrollando y que puede ser de gran ayuda para detectar la mayoría de ataques conocidos y amenazas en el sistema Android.

defcon9

Esta herramienta, que podría considerarse tanto un IDS e IPS de red permite analizar, procesar y modificar los paquetes de datos que se envían y reciben en un terminal Android en tiempo real. Además se pueden realizar filtrados de paquetes y descartar aquellos que resulten sospechosos, incluyendo aquellos originados por el uso de otras herramientas como Metasploit para Android. Incluye también bases de firmas para detectar aplicaciones maliciosas que se conecten a centros de mando y control aunque, siguiendo el patrón y las comunicaciones de muestras de malware se pueden detectar y bloquear estas amenazas sin mayores problemas. Este es, sin duda, un desarrollo que hemos de seguir muy de cerca y por eso le hemos pedido a Jaime que nos lo explique en una entrevista detallada que publicaremos en los próximos días.

Siguiendo con la representación española en la Defcon, le tocaba ahora el turno a Pau Oliva con su charla donde describía las características del sistema de SEAndroid para mitigar el daño realizado por aplicaciones maliciosas pero también de sus vulnerabilidades. Esto es debido a que la implementación de este sistema por parte de los fabricantes de dispositivos Android presenta fallos que pueden ser aprovechados por atacantes.

defcon10

Pau ha enumerado varias de estas vulnerabilidades y ha realizado demostraciones de cómo se puede desactivar el modo “enforced” que se obtiene con SEAndroid, pasando a un modo “permisivo” que hace más vulnerable el dispositivo. Utilizando una herramienta bautizada como SEAKiller ha demostrado cómo, simplemente reiniciando un terminal con esta medida de seguridad implementada, esta puede ser desactivada durante el arranque al haber un espacio de tiempo en el que el terminal se encuentra en modo permisivo. Otro tanto más para los investigadores españoles que tanto han dado que hablar en esta jornada de la Defcon.

Por último y para despedir el día, hemos asistido a una charla realizada por Hunter Scott donde ha explicado a la audiencia qué son las redes de radio cognitivas, cómo funcionan, sus beneficios y sus vulnerabilidades. Estas redes de radio poseen características interesantes puesto que cada nodo puede informar a los demás y a la torre de control de su situación para que así se tomen decisiones acertadas. Además y viendo el estado saturado y mal aprovechado del espectro de audio (problema que se acrecentará en próximos años por el incremento de dispositivos conectados a redes inalámbricas) es más que probable que este espectro de ondas sea aprovechado para dar paso a nuevos canales de transferencia de datos.

defcon11

Sin embargo, tal y como ha comentado este investigador, hay que tener en cuenta una serie de problemáticas que pueden afectar al correcto funcionamiento de estas redes, como son, por ejemplo, todos los ataques derivados de nodos maliciosos en una red. Estos nodos maliciosos podrían hacer, por ejemplo, que una información no llegase a su destino o que lo hiciese de forma incorrecta. Por eso es necesario mejorar este sistema para poder utilizar de forma segura este espectro de radio y evitar la saturación de las redes inalámbricas en un futuro cercano.

Una vez terminada esta jornada de conferencias en la Defcon, los corresponsales de ESET España nos hemos dirigida ver que pasa en alguna de las fiestas o actividades nocturnas que se celebran en la Defcon, aunque sin abusar ya que mañana hay que estar despierto temprano para no perderse ninguna de las charlas a primera hora.

Josep Albors

David Sanchez



Crónica desde la Defcon: Día 1

Una vez terminada la BlackHat era hora de empezar otra de las convenciones de seguridad más esperadas. Hablamos, como no, de la Defcon que, desde hoy hasta el domingo estará celebrándose en Hotel Rio de las Vegas. Tal y como hicimos en BlackHat, cada día ofreceremos un resumen de las charlas a las que hayamos asistido para que nuestros lectores puedan hacerse una idea de los temas que se tratan.

 La primera Charla de la mañana prometía y es que Charlie Miller nunca defrauda. Junto con su compañero Chris Valasel ha expuesto los resultados de una dura, a la par que divertida investigación, sobre dos modelos de coches con muchas funciones automáticas entre las que se incluyen el aparcamiento automático, control de crucero o frenado automático, entre otros. Los coches elegidos fueron dos modelos de 2010 del Toyota Prius y Ford Escape.

defcon1

 Tras una primera fase donde se identificaron las ECUS o unidades de control electrónicas (encargadas de controlar todos los aspectos del automóvil a través de sensores y activadores) se pasó a analizar que tipo de código utilizaban estas unidades de control y cómo se comunicaban entre ellas. Para ello tuvieron que adquirir varias piezas de hardware, o incluso construir alguna, y seguidamente, aprender a utilizar el software apropiado.

No obstante, todo este esfuerzo mereció la pena puesto que, a continuación, esta pareja de investigadores nos mostró una serie de divertidos vídeos donde nos mostraban (con accidentes incluidos) como conseguían engañar a la mayoría de sensores del coche, incluyendo el velocímetro, el sistema de frenado, sistema de dirección, aceleración, bocina, luces e incluso el ajuste del cinturón. Sin duda una de las mejores charlas de lo que llevamos de Defcon tanto por su contenido como por su puesta en escena.

De un tema similar se ha hablado a continuación en la charla titulada “Hackeando dispositivos no tripulados”. En esta charla hemos repasado varios de estos vehículos, desde drones militares hasta repartidores automatizados de pizzas o proyectos tan conocidos como el Google Car. Se han analizado los diferentes sistemas de navegación y control de los que disponen estos vehículos y que incluyen cámaras, sensores de movimiento, radar por laser o LADAR, radar de ondas o brújulas, entre otros.

En cada uno de estos sistemas, el investigador se ha detenido a comentar sus pros y contras, explicando como llegar a engañarlos con técnicas sencillas y fallos sufridos por varios de estos vehículos. Ha cerrado la charla animándonos a todos los presentes a colaborar en la construcción de vehículos no tripulados más eficaces y seguros, porque según este investigador, este tipo de vehículos son el futuro más cercano.

defcon2

Seguidamente hemos asistido a una charla donde se ha presentado una investigación empezada en el Tor Camp 2012 y donde se ha analizado la información almacenada en las tarjetas SIM, que, como ya pudimos comprobar en BlackHat, contienen mucho más que nuestro número de teléfono o agenda de contactos. Estos investigadores decidieron analizar la posibilidad de instalar aplicaciones en estas tarjetas y averiguaron que era posible ejecutar aplicaciones usando solamente el propio chip de la SIM sin que el teléfono intervenga para nada.

Las aplicaciones pueden ser instaladas remotamente de forma transparente al usuario y son soportadas por la mayoría de SIM actuales, pudiendose instalar varias aplicaciones. Tal y como vimos hace un par de días  en BlackHat, esto puede ser aprovechado de forma maliciosa por un atacante e instalar aplicaciones con malware e incluso conseguir formar una botnet a partir de teléfonos infectados a partir de la tarjeta SIM. Sin duda un nuevo vector de ataque orientado a la telefonía móvil que tendremos que seguir muy de cerca.

Siguiendo con la temática de dispositivos móviles, hemos asistido a una charla con un tema que le sonara a más de uno de nuestros lectores por las veces que lo hemos tratado en este blog. Investigadores de la empresa de seguridad para móviles Lookout han analizado como está estructurado todo el fraude alrededor de aplicaciones maliciosas que envían mensajes SMS a números Premium de alto coste sin aprobación del usuario.

Para ello han analizado varias familias de malware para Android con esta característica y desgranado toda la estructura montada alrededor de los mismos. Empezando por los desarrolladores y sus programas de afiliados, pasando por aquellos que participan de estos programas y promocionan este tipo de malware a través de enlaces en sus webs o en redes sociales, hasta llegar a las víctimas y las formas que tienen de infectarse. Si duda un análisis muy detallado y de gran interés para todos aquellos que nos dedicamos a luchar contra este tipo de amenazas.

defcon3

Tras el sugerente título de “Permisos para ocultar tu porno” hemos asistido a una charla donde se ha vuelto a demostrar que la seguridad por oscuridad no es para nada segura. En esta charla se ha hecho un repaso a la seguridad de diferentes tipos de archivos de Windows, realizando a continuación una serie de demostraciones donde se ha saltado esa supuesta seguridad. Conocíamos de antemano las técnicas de esteganografía, técnica que permite ocultar, por ejemplo, datos en imágenes y aquí hemos podido ver varios ejemplos, mostrándose además como ocultar datos dentro de volúmenes NTFS a través de una herramienta que lo permite.

Tras la comida nos hemos dispuesto a encarar la sesión vespertina empezando por nuevas técnicas de ataque al protocolo IPv6. Los dos jóvenes investigadores encargados de dar esta charla han repasado cómo en Windows Vista  y 7, el uso de este protocolo viene activado por defecto, pudiéndose realizar ataques del tipo SLAAC. En Windows 8 este tipo de ataques solo funcionan parcialmente.

No obstante con un script desarrollado por estos investigadores es posible replicar este tipo de ataques también en Windows 8, siendo los requisitos para que se produzca bastante sencillos. Esto es, conocer el nombre de una de las interfaces (p.ej. eth0) y tener disponible IPv4 en la red de la víctima. Gracias a la herramienta SuddenSix desarrollada por esta pareja de investigadores han conseguido reducir notablemente el tiempo para interceptar y descifrar los paquetes enviados bajo IPv6 en sistemas Windows actuales.

A continuación nos hemos dirigido al escenario Pen&Teller dentro del mismo hotel para asistir un par de charlas. Empezando por la ofrecida por el grupo GoogleTV Hackers, este grupo de investigadores nos han puesto al día en lo que respecta  a técnicas de hacking de los diversos modelos disponibles de Google TV disponibles en el mercado americano, incluyendo tanto los de la primera y segunda generación de una amplia variedad de fabricantes. Siguiendo estos procedimientos se consigue liberar el dispositivo, instalar un firmware personalizado e incluso añadir funcionalidades que no vienen de fábrica.

Entre estos dispositivos también se incluyen Smart TV de fabricantes como LG o Sony que también pueden ser modificadas para ver su lista de funciones aumentada y con un firmware libre y abierto que permite tener el control total del dispositivo. No podía faltar en esta charla el recientemente lanzado Google Chromecast, al cual los investigadores ya han tenido acceso y han conseguido analizar, detectando que tiene muchas similitudes con modelos anteriores de GoogleTV y, por lo tanto, vulnerabilidades parecidas. Un grupo de investigadores a tener en cuenta por el trabajo que ofrecen de forma gratuita a todos aquellos usuarios inquietos que buscan maneras de aumentar las funcionalidades de este tipo de dispositivos.

defcon4

En la misma sala hemos podido asistir a una charla en la que se han mostrado varias técnicas para poder tener acceso a la información almacenada en nuestro sistema aunque este se encuentre cifrado. Y es que, aunque la criptografía haya avanzado mucho en los últimos años, aun es posible  obtener los datos de un ordenador atacándolo físicamente (congelando la memoria RAM, por ejemplo) o, como es más normal y suele tener más éxito, atacando al usuario.

Para evitar estos que se robe información de nuestro sistema utilizando este tipo de técnicas, el investigador ha propuesto el uso de varias técnicas como el cifrado de la memoria RAM, algo que, según algunos estudios citados en esta charla, solo reduciría su rendimiento en un 10% de media. Asimismo, también se ha comentado la necesidad de comprobar la integridad del sistema para revisar que no se esté actuando de forma maliciosa contra el mismo. Para ello ha propuesto el uso del TPM (Trusted Platform Module), un chip integrado en varias placas base y que se suele usar bastante en de consolas de videojuegos.

Para terminar el día hemos podido asistir a una charla de uno de los hackers más veteranos en Defcon, en la que nos ha explicado la estrategia que siguió hace seis años para construir una botnet de voluntarios que le permitiera obtener a uno de sus clientes ventajas a la hora de adquirir coches usados en un portal de venta de automóviles de segunda mano. Con una sencilla implementación de esta botnet se consiguieron resultados de éxito cercanos al 100% e incluso se consiguió mejorar una estrategia similar que empezaron  a realizar un grupo de hackers rusos. Este investigador ha cerrado su charla explicando que hubiera hecho hoy en día para mejorar la eficacia de esta botnet, aprovechando sus conocimientos y técnicas actuales.

 Y esto ha sido todo en nuestro primer día de la Defcon. Os recordamos que nuestros compañeros de ESET Latinoamérica publican resúmenes ampliados de algunas de las charlas más interesantes en su blog, por si alguien desea ampliar la información. Para cuando se publique este artículo nosotros estaremos reponiendo fuerzas para encarar un nuevo día de charlas aunque posiblemente también hayamos podido disfrutar del ambiente festivo que se respira en este evento y es que hay nada menos que 21 fiestas organizadas para celebrar esta vigesimoprimera edición. Por si acaso, dejaremos los móviles en la habitación ya que, como bien dice el dicho “lo que pasa en Las Vegas, se queda en Facebook”.

 Josep Albors

David Sanchez



ESET España en Black Hat: Resumen del segundo día

Hoy nos ha tocado madrugar a los corresponsales de ESET España que estamos en Las Vegas y es que se ponían a la venta las entradas para la Defcon. Como sabemos que la cola que se forma para comprar estas entradas es muy grande, hemos preferido madrugar y a las seis de la mañana ya estábamos guardando nuestro sitio. Dos horas después han abierto las taquillas, hemos comprado nuestras entradas y nos hemos dirigido al Ceasar’s Palace para asistir al segundo día de charlas de BlackHat.

Hemos llegado con tiempo suficiente para encontrar un buen sitio y asistir a la “keynote” ofrecida por Brian MuirHead, Ingeniero Jefe de la NASA. Ha sido una charla de lo más interesante, inspiradora e incluso emotiva donde ha desvelado los retos a los que se enfrenta la NASA en sus misiones espaciales, especialmente en las que tienen a Marte como objetivo. Brian ha destacado la importancia de contar con un equipo formado por personas especiales, donde haya buena comunicación y usando sistemas y tecnología de confianza que estén preparados para cualquier contratiempo, algo que también se puede aplicar perfectamente al mundo de la seguridad informática.

blackhat9

Seguidamente hemos empezado con las charlas, empezando por una protagonizada por varios fabricantes de antivirus donde se analizaba el estado actual de las tecnologías usadas frente a las amenazas. En esta charla se ha hablado de cómo resulta realmente difícil gestionar la cantidad de malware generado a diario y de cómo métodos clásicos como la heurística o las listas blancas de aplicaciones podrían no dar los resultados esperados en algunos casos. Es por ello que varios investigadores se han aliado para desarrollar un sistema que proporcione información sobre archivos limpios de forma eficaz y sin errores, recopilando una serie de metadatos del fichero y permitiendo a los creadores de ese archivo subirlo a el sistema para se que verifique su legitimidad. Sin duda algo de lo que estar pendiente.

blackhat10

A continuación hemos presenciado una charla sombre malware en dispositivos móviles, explicando tanto el funcionamiento clásico de un antivirus como de las amenazas en estos dispositivos. Se ha destacado el problema existente debido a la fabricación de la mayoría del hardware en países que no proporcionan mucha confianza, lanzando el presentador la interesante pregunta sobre como saber si una pieza de hardware ha sido modificada para incluir malware de fábrica, algo que ya se ha producido con anterioridad. Sabiendo de las limitaciones de las protecciones antimalware existentes actualmente en móviles, muchas de ellas provocadas por temas de hardware o por limitaciones del propio sistema operativo, se ha presentado una nueva técnica que permite realizar análisis periódicos del dispositivo y detectar aquellas amenazas presentes.

En otra de las charlas a las que hemos acudido, un equipo de investigadores presentó una investigación en la que hablaban de una botnet operativa desde 2007 que tenía como objetivo al gobierno y entidades privadas de Taiwán. Esta botnet ya se ha extendido a otras partes del mundo como Europa o Estados Unidos. El objetivo de esta botnet es recopilar información clasificada de estas empresas y gobiernos y actualmente está compuesta por más de 5.800 ordenadores y controlada por 25 personas según los investigadores. Se utilizan cuatro familias diferentes de malware para infectar a los usuarios y se suele utilizar el correo electrónico para propagar estas amenazas.

blackhat11

Casi sin tiempo entre charlas nos hemos dirigido a una de las más esperadas, al menos por nuestra parte. Esta charla no era otra que la que mostraba como hackear Smart TV (aunque era extrapolable a otros modelos), especialmente algunos modelos ES8000 de la serie 2012 de Samsung. Viendo el éxito que tienen este tipo de televisores últimamente, la expectación creada estaba más que justificada. Durante la presentación, los investigadores analizaron el sistema de seguridad implementado por Samsung en el sistema operativo que maneja estos televisores y los fallos que presenta.

Durante la hora que ha durado esta presentación hemos podido ver los vectores de ataque que se pueden usar para conseguir obtener el control de la televisión y conseguir, por ejemplo, capturar imágenes a través de la cámara que incorpora. Especialmente interesante ha sido la conclusión en la que se afirmaba que cualquier aplicación que se instale en estas televisores puede estar infectada, permitiendo que un atacante tome el control de la misma. Asimismo, utilizando aplicaciones de redes sociales como Skype o Facebook que también pueden instalarse en estos televisores se puede llegar a propagar estas infecciones a otros usuarios con modelos de Smart TV similares, lo que podría ser considerado como un gusano informático pero para televisores. Para evitar que esto suceda, el fabricante ya ha lanzado parches que mitigan buena parte de estos fallos aunque el usuario también ha de cumplir con su obligación de aplicarlos.

blackhat12

Ya en las charlas de la tarde, no hemos querido perdernos el emotivo homenaje al conocido hacker Barnaby Jack, recientemente fallecido y que iba a dar una esperada presentación sobre como manipular remotamente dispositivos  médicos como bombas de insulina o marcapasos. Sin duda, Barnaby ha sido un ejemplo a seguir por muchos investigadores y estamos seguros de que su legado perdurará a lo largo del tiempo por haber sido alguien que, con sus investigaciones ha ayudado a salvar muchas vidas.

blackhat13

A la misma hora también hemos podido asistir a una charla sobre la ofuscación de código en la que se han hablado de varios puntos. Entre ellos métodos de cifrado más eficientes como BIN2POS, que destaca por su velocidad y eficiencia. Seguidamente se han mostrado maneras de saltarse la protección del cortafuegos e inmediatamente después se han mostrado ejemplos de inyección de código en varios tipos de bases de datos. Por último se ha hablado de una aplicación conocida como Leapfrog para probar la eficiencia de un cortafuegos y averiguar que vulnerabilidades tiene.

Otra de las charlas que no queríamos perdernos por nada del mundo ha sido la ofrecida por dos investigadores argentinos que iban a  presentar como interferir en las comunicaciones entre varios sensores presentes en sistemas de control de infraestructuras críticas (SCADA). En esta presentación se han analizado los dispositivos de tres importantes fabricantes (sin revelar los nombres)  y sus vulnerabilidades. El punto fuerte de la presentación ha llegado cuando han demostrado como se podía engañar a un sensor de para que mostrase lecturas erróneas de temperatura y hacer que finalmente estallase el sistema que estaba controlando. Algo llamativo y con muy buenos resultados a la hora de captar la atención de la audiencia.

blackhat14

Una de las charlas más curiosas a las que hemos podido asistir era la que trataba las vulnerabilidades en todo tipo de dispositivos domésticos. Los investigadores a cargo de esta charla han conseguido explotar vulnerabilidades en varios tipos de dispositivos que suelen estar presentes en muchos hogares, desde juguetes, pasando por hubs hasta llegar a una taza de váter controlada por bluetooth. Poniendo como ejemplo el juguete con forma de conejo Karotz Smart Rabit, los investigadores han podido controlar remotamente la cámara que lleva integrada a través de un navegador. Pero no se han detenido ahí puesto que también han demostrado cómo pueden controlar remotamente todas las funciones del juguete pudiendo llegar a tener un ejército de conejos robot a nuestras órdenes. Sin duda un toque de atención para tener en cuenta las vulnerabilidades que pueden afectar a muchos dispositivos que solemos tener en casa pero a los que no prestamos la suficiente atención a la hora de protegerlos frente a ataques.

Y para terminar la jornada, nada mejor que una charla de conocido, periodista e investigador Brian Krebs quien, de forma animada nos comentaba sus experiencias tratando con los conocidos como booters, proveedores de servicios de DDoS principalmente compuestos por adolescentes con no excesivos conocimientos informáticos pero que consiguen mucho dinero prestando sus servicios a terceros. En esta charla se ha comentado la paradoja de que estos servicios se atacan entre sí para eliminar la competencia y es por ello que muchos de ellos contratan servicios de empresas como Cloudfare para protegerse precisamente de este tipo de ataques.

El broche final a esta charla lo ha puesto precisamente el CEO de CloudFare, el cual estaba presente entre el público y ha salido a defender la postura de su empresa. Según el mismo afirmó, no quieren censurar a nadie pero que si hubiera algún medio para identificar este tipo de actividades los darían de baja de forma inmediata.

blackhat15

Y hasta aquí llegó nuestra cobertura de la BlackHat que ampliaremos con artículos detallados en las próximas semanas. Mientras tanto, nuestros compañeros de ESET Latinoamérica han preparado una serie de posts adelantando la información que hemos obtenido de algunas de las charlas más interesantes.

Por nuestra parte esto es todo desde BlackHat, ahora toca descansar y prepararse para la Defcon que empezaremos a cubrir en solo unas horas y desde la cual ofreceremos las noticias más interesantes que se comenten.

Josep Albors

David Sánchez



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje